Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
64 lecturas y 2 respuestas
  • Cerrado

    Tutorial-Cuestionario sobre filtrado de paquetes del router Comtrend CT-500

    Filtrado de paquetes (firewall) del router CT-500
    =================================================

    Las dos lineas siguientes corresponden a las dos reglas de filtrado que coloca el router por defecto para evitar que se pueda acceder a éste por HTTP (puerto 80), Telnet (puerto 23) o SNMP (puerto 161) desde el exterior (internet):

    --------------------------------------------------------------------------------------------------------------
    No: 0
    Priority Num: 65534
    Protocol: tcp
    Source: IP:0.0.0.0/Mask:0.0.0.0/Port:
    Destination: IP:0.0.0.0/Mask:0.0.0.0/Port:23,80,161
    TCP Flags: XXXXXX
    Activite deny
    Log: Disable
    Interface: HOST
    Direction: Out
    --------------------------------------------------------------------------------------------------------------
    No: 1
    Priority Num: 65533
    Protocol: tcp
    Source: IP:0.0.0.0/Mask:0.0.0.0/Port:
    Destination: IP:0.0.0.0/Mask:0.0.0.0/Port:23,80,161
    TCP Flags: XXXXXX
    Activite: accept
    Log: Disable
    Interface: LAN1
    Direction: In
    --------------------------------------------------------------------------------------------------------------

    He llegado a la conclusión de que los posibles valores del campo Interface se corresponden con los siquientes valores:

    ANY : Cualquier interface de red, esto es, red local y/o internet.
    LAN1: Red local (en este caso sólo formada por el CT-500 y nuestro ordenador).
    LAN2: Read Local alternativa. Supongo que el hecho de usar LAN2 no significa que el router pueda conectarse a dos redes locales simultáneamente (puesto que sólo hay una boca Ethernet) sino que LAN2 es una configuración de red alternativa que le podemos indicar al CT-500, por ejemplo, cuando conectamos el router a otra red local distinta de la habitual y así no tener que estar reconfigurando todas las opciones para esta nueva red.
    ATM1 - ATM16: (normalmente ATM1) Interface de red ATM (WAN), esto es, internet.
    HOST: El propio router.

    Creo entender que la primera línea detecta todos los paquetes IP que pasen por el router (HOST) y que usen el protocolo TCP desde cualquier origen (Source Ip: 0.0.0.0) y hacia cualquier destino (Destination IP: 0.0.0.0) en el que se vayan a usar alguno de los puertos 23,80 ó 161 y los descarta (deny).

    En cuanto a la segunda creo entender que detecta todos los paquetes IP que circulen por la red local (LAN1) y que usen el protocolo TCP desde cualquier origen (Source Ip: 0.0.0.0) y hacia cualquier destino (Destination IP: 0.0.0.0) en el que se vayan a usar alguno de los puertos 23,80 ó 161 y los deja pasar (accept).

    El hecho de que esta última regla tenga un número inferior a la primera indica que tiene mayor prioridad sobre la primera, por lo tanto, aunque la primera regla impide acceder al router por HTTP, Telnet o SNMP desde cualquier interface, la segunda relaja la restricción y permite acceder a aquellos equipos situados en la red local (nuestro PC).

    El campo Direction es el que me trae de cabeza. Indica la dirección en la que viajan los paquetes (DESDE LA PERSPECTIVA DEL ROUTER) y iene tres valores:

    Out : Paquetes IP de salida
    In : Paquetes IP de llegada
    Both : Paquetes tanto de salida como de llegada

    Y aquí van las dudas ;)

    1) Para empezar, no entiendo la finalidad de este campo. Si ya tenemos los campos IP origen e IP destino, ¿ Para qué especificar la dirección en la que circulan los paquetes?

    2) Entiendo que la finalidad de un router es la de enrrutar paquetes de una red en otra (en este caso de internet a la red local y viceversa). Al hablar de paquetes de salida o de llegada (In / Out) queda implícito el concepto de "dentro" y "fuera". ¿ Se refiere "dentro" a la red local y "fuera" a internet como cabría pensar ?

    3) Al usar "Out" como dirección y HOST como Interface en la línea 1 da la impresión que se bloquean los paquetes IP que "salen" del router, entonces ¿ Porqué se usa el campo "IP Destination" para especificar los puertos ? Esta casi la puedo contestar yo mismo ;) SUPONGO que el campo "IP destination" se usa para indicar los servicios que queremos bloquear (23,80,161) y el campo "Direction" ajustado a "Out" se usa para referirnos sólo a aquellos paquetes que "SALGAN" del router. De esta forma el router evita que se acceda a él por, por ejemplo Telnet, desde el exterior (ya que no deja salir paquetes IP con el protocolo Telenet desde él), pero NO se bloquea la posibilidad de que el propio router haga Telnet hacia otra máquina exterior. Y si os estáis preguntando el porqué el router querría hacer telnet hacia otra máquina (yo me hice la misma pregunta) os diré que existe una utilidad dentro del propio router para hacer PINGs a otras máquinas y que precisamente esa utilidad realiza conexiones FTP y Telnet a otras máquinas para realizar dichos pings.

    4) La segunda línea me descoloca completamente. No entiendo que para permitir el Telnet al router desde la red local se emplee como "Direction" el valor "In" (paquetes que entren al router). Si en la regla anterior bloqueabamos el acceso al router usando el valor "Direction" a "Out", ¿ Porqué precisamente para permitir a los equipos de la red local acceder al router usamos "Direction" a "In"? Yo entiendo que la única diferencia que debería existir entre la segunda línea y la primera sería que en el campo "Activite" tuvieramos "accept" en lugar de "deny" (como así ocurre) PERO sin tocar los campos "Interface" y "Direction" que deberían continuar como "HOST" e "In", respectivamente.

    Este post es tan largo porque he querido compartir con vosotros mis averiguaciones (a modo de pseudo-tutorial, jeje) para que entre todos aprendamos un poco más de las posiblilidades de este magnífico router y que juntos podamos encontrar la respuesta a mis dudas.

    Gracias de antemano.

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      BocaDePez BocaDePez
      6

      Piensa en prerouting y postrouting. si el router no hace nat,…

      Piensa en prerouting y postrouting.

      si el router no hace nat, no hay problema, ambos valores se comportan igual.

      Si el router hace nat, con prerouting, tienes los paquetes con los valores originales (con los valores de ips publicas en este caso) y en postrouting los tienes con los valores de las ips traducidas.

      Espero que esto resuelva tus dudas.

      Un saludo.

    • Cerrado

      BocaDePez BocaDePez
      6

      como puedo trasterar en el roter, porque sigo los pasos para…

      como puedo trasterar en el roter, porque sigo los pasos para abrir los puertos y cuando llego a darle a add me da error